براساس گزارش CNN، گزارشی که توسط محقق امنیتی تروی هانت انجام گرفته نشان از آن دارد که حساب کاربری 820 هزار نفر از کاربران این عروسک‌ها، یعنی 2.2 میلیون فایل صوتی ضبط شده در معرض دسترسی قرار گرفته‌است.

به گفته هانت بسیاری از کاربران نمی‌دانند زمانی که کودک آنها با خرس عروسکی این شرکت صحبت می‌کند،‌صدای او در جایی روی سرور‌های آمازون ضبط می‌شود. این عروسک‌ها به اپلیکیشن موبایلی متصل می شوند و به پدر و مادرها و اقوام امکان آن را می‌دهند تا برای کودکان پیام‌های محبت‌آمیز ارسال کنند.

زمانی که فردی برای این عروسک‌ها حساب کاربری ایجاد می‌کند، نام باید نام کودک، آدرس ایمیل و یک عکس او را نیز ثبت کند. این عروسک‌ها مانند تمامی دیگر عروسک‌های متصل به اینترنت اطلاعات دریافتی خود را در فضای ابر ذخیره می‌کنند. این عروسک‌های پولیشی از سال 2015 به شکل خرس، سگ، گربه و خرگوش وارد بازار شدند.

اما براساس بررسی‌های هانت و دیگر محققان، اطلاعات کودکان که توسط این عروسک‌ها ثبت می‌شوند روی سرور‌هایی ناایمن ذخیره می‌شوند که دسترسی به آنها به تایید هویت نیازی ندارد. به گفته هانت، تنها یک اشتباه کافی است تا تمامی این اطلاعات در دسترس افراد بد‌نیت قرار گیرد. اشتباهی مانند نداشتن رمز ورود به گوشی موبایل.

این سرور توسط موتور جستجویی به نام شودان مورد بررسی قرار گرفته‌است،‌نرم‌افزاری که می‌تواند ابزارهای ناایمن متصل به اینترنت را شناسایی کند. به گفته هانت فردی این داده‌ها را ردیابی کرده در ازای بازگرداندن آنها از شرکت CloudPets درخواست پول کرده‌است. دسترسی به این اطلاعات اکنون غیرممکن شده‌است اما شرکت سازنده عروسک‌ها خبر نشت اطلاعات را به کاربران اعلام نکرده‌است و می‌گوید تاکنون اطلاعات کاربرانش در معرض خطر قرار نگرفته‌است.